HMI的安全性.docx

HMI的安全性当提及人机接口时，安全和保安之间的区别往往能够很明确。Wonderware公司的针对基础设施和平台产品的市场经理StevenGarbrecht讲：安全指的是嵌入PLC的控制操作和安全联动装置，它已经被设计到控制程序中了。保安是针对闯入控制系统意图盗取信息或毁坏的人。这是两个不同的领域，然而讲到HMI，安全和保安就有一些交集了。适当的安全设计能够防止操作人员对产品或设备造成的损伤或毁坏，并且能够使操作人员及时行动避免这种情况发生。1984年12月份，印度Bhopal省的UnionCarbide公司的一家工厂发生了灾难性的事故，化学反响堆失控，造成成吨的异氰酸甲酯泄露，成千的人死亡，更多的人患病。对于此次事故中安全系统能否工作的讨论存在这个分歧，UnionCarbide公司的立场是造成如此大的事故只可能是人为毁坏。而且别人却特别不认同这种讲法。如图1和图2所示，在这个制药流程中，生产经过的启动、控制和监控都是由操作员完成的，WonderwareIntouch公司的HMI软件一步一步地知道操作员完成这个经过。图1工厂系统的总图图2样品数据管理和审核流程1979年美国ThreeMileIslandPA发生的核工厂泄露事故中，操作人员并没有意识到一个关键的阀门被打开了，固然显示时关闭的。之后他们收到了反响堆液位的错误信息。后来的调查显示，被恶意毁坏的可能被排除，假如操作人员当时收到了正确的信息，他们就能够阻止情况失控。确保不失控诚然，确实有外部的恶意毁坏者。Wonderware公司的信息安全Infosec分析师RichClark在一次题为控制系统安全向导的演讲中，列举了17类情况，包括从不满的员工到普通的罪犯，以致有组织的危害国家和政府安全的组织和个人。他讲，这些人很难别确认，但他们天天却有很多目的能够攻击。Garbrecht讲：从人机接口的角度上，有三种主要的情况，一是公司以外的某些人穿越防火墙，通过网络进入公司，并对人机接口做了某些改动。二是公司内部的某些人以某种原因对公司作了恶意操作。三是公司内部员工，并不是有意要做恶意攻击，只是由于误操作导致流程中安全或其他方面的问题。Clark讲，假如公司把控制系统的保安工作交给IT部门，那么公司可能会有费事。IT人员通过隔离每台机器来到达保安，他们隔离哪些正在上网的和有可能携带病毒的人，使他们不至于影响企业中的其他部分。这种方法在IT领域确实奏效，但是它牺牲了机器之间通讯的便捷性，并且实时性能不好。Clark继续讲道：当控制系统被设计时，每台机器都设计成能够不受阻碍地与另一台机器通讯。在控制系统的环境中，更多的机器既是服务器又是客户机，这并不符合IT领域中的客户端服务器模型。Clark指出，控制系统的安全方案是将控制系统放在一面保护墙后面，然后密切控制受保护区域的所有进出。在控制系统和整个系统之间的所有通讯必须经过防火墙。California的一家生物制药公司近期安装了符合21CFR11标准的用于处理历史数据的新型系统。所有有关经过错误和事件的信息都被存储在服务器中需要的人能够调用。但是工厂的重要数据和控制信息都是存放在与整个系统隔离的网络中的。Clark引用了havinglimitedthreatvectors。他讲，一个理想的安全控制系统应该知足下面几条：与全部的威胁隔离，包括商业合作企业。用强力抗侵蚀设备分层只要一个输入输出点所有的系统自动化都在一个安全集合内并且企业内的每一个置信机器能够无阻碍地访问另一个置信机器微软公司称这种安全模型为网域隔离。GE公司通过使用ApplicationValidatorUtility工具，为它的iFIX软件3.5版本添加了这种安全特性。这种软件工具能够自动整理对系统文件和功能的修改，减少安装被无意和有意地危机的可能性。当操作员界面使用GEFanucAutomationComplicity的软件时，它允许这个主要的金属设备上的受权用户在工厂中的任何一个位置访问控制数据，但是对控制参数的改动只能在特定的位置完成。SystekAutomatedControls公司的工程副总裁前InternationalAutomation公司控制工程经理JoeQuigg警告讲：有意图的人能够制造危险。对于以前的系统，很多情况下，人们能够不受阻碍和无人监管地对系统作修改和改动。而且这种修改缺乏文档备案机制，假如人们改动了系统，而且没有备案，那就根本无据可查。他继续讲道：很多逻辑系统都带有硬件继电器逻辑，假如某人能够打开控制面板，那么只要他愿意他就能够设置某些旁路。他继续讲道：一个设计精良的当代系统被划分为两个部分，标准部分，即日常的控制程序，它是开放式构造的，另一个是安全不分，假如改动的话就会产生危险，这部分是被锁定的。只要特定的人，使用正确的密码，经过培训和指导才能够对其进行修改。应用：性能管理软件、接口，帮助优化操作，到达标准要求RocheDiagnosticsGmbH公司最近在德国Mannheim建立了一条新的置物架流水线，用于照料糖尿病病人和放置诊断产品。为了到达美国食品和药物管理FDA标准，提高生产效率，加强其经过监控和审核能力，他安装了Wonderware公司的生产和性能管理软件系统，这同时也是InvensysSystem公司的一个业务单元。公司希望找到一个便于使用，能保证其生产经过的系统，而且此系统还要符合FDA21CFRPart11的规定。它选择了Wonderware公司的两个关键的软件包，InTouch人机接口软件和IndustrialSQL服务器，它包含一个与系统实时相关的数据库。这两个软件包使Roche公司既知足了商业要求又知足了生产的要求，而且还符合FDA的要求。在这条新的置物架流水线上，小瓶子从托盘中分别选出、分类并放在一起，构成一个包，这个包之后会被送到一个旋转的桌子上，进行进一步处理。贴上标签，一台摄像机用来检查矩阵条形码能否正确和能否合理放置。之后另一台摄像机检查每个瓶子和瓶盖能否是正确的颜色，然后这个包就到了最终的包装阶段。这个生产经过的启动、控制和监控都是由使用这个软件的操作人员完成的。人机接口指引操作员一步一步指导结束，操作员不必再从复杂的屏幕选项中作出选择了。FDA标准要求生产商保持生产数据的可追溯性，这就意味着公司必须明确经过中的每一步，包括那个操作人员在什么时间完成某项任务。这个程序的用户管理特性和微软2000操作系统提供的特性允许对工厂进行严密的安全设计，而不必使操作系统直接面对用户。Dr焎kerSteuerungssystemeGmbH公司的总经理UweDr焎ker讲：使用这种方法的一个好处是用户的管理并不表现为单独的一个系统，而是作为整个企业安全系统的一部分。使用这种操作方法，公司能够很容易地合并并且重用工厂的现有操作系统。而且，这个软件的易用性和统一的接口使Mannheim的操作人员保持置物架流水间运行于最优效率下。我们只需采用一个使用单用户管理系统的端对端安全系统而不需要使用几个昂贵的解决方案。这条置物架流水线的操作人员登陆应用界面，根据他们的准入等级，对其验证和受权，以便他们执行特定的操作。对经过流水线的操作包括产品和经过数据的日常创立和编辑，启动、暂停或者停止批处理，或者编辑用户预设值文件。流水线的操作人员使用他们的用户名和密码来登陆。这种安全登陆技术使公司能够知足FDA数据可追溯要求，并且使生产流水线具有更强的防篡改功能。此软件具有时戳电子签名，能将每一个操作人员与详细的行动联络起来。这个签名和其他相关的数据之后被存储在IndustrialSQL服务器历史数据库中，用开生成一个复杂的审计跟踪。这些审计跟踪能够在任何时候被受权主管或经理观察和打印。信息和电子签名是不能被改变或删除的，这样就构成了一个符合FDA要求的、具有防篡改功能的仓库。而且，Mannheim工厂还使用一个额外的系统来完成高可用性和数据整合。此系统物理上与主系统隔离开来，但它保持和主系统的数据同步。在主系统失效的时候，同步握手协议检测主进程是何时停止的，并自动切换到备用系统，这是一种失效安保能力。细致入微的公用网络整合同样是所有的数据能够用于整个企业范围的分析。除了来自于FDA规范的压力外，日渐增长的恐惧主义和假冒产品的威胁总是制药公司的主要考虑对象。这种软件管理系统的安全特性使Roche具有很高的自信心，使之能够在生产和包装经过的每一步跟踪并保证质量。应用：HMI系统给铝制品生产带来安全和保障1990年建于魁北克的美国铝公司AlcoaAlumineriedeDeschambault是一个需要升级的工厂。他的主要的金属设备使用550人操作，生产原铝锭，然后送到定型设备上生产成各种不同的产品。经过控制和监控是在一个不能被升级的基于DOS的系统上完成的。数据收集使用一个自制的OpenVMSVAX系统。工厂的应用工程师PierreBoutin解释讲：我们需要一个进行少量工作就能够完成更改设置的系统。公司的职员也需要更好的准入机制来处理数据。例如，30多个工厂的环境小组成员严密合作，但是他们能够在任何时间在半英里的工厂范围内的任何一个地点进行访问数据。任何一个新型系统都需要提供一种高保密认证机制，允许受权用户在工厂的任何一个位置访问控制数据，但是对控制参数的修改只能在特定的位置完成。Boutin和他的同事选择在现有的基础设施上层安装GEFanucAutomation公司的Cimplicity软件以搭建控制和监控解决方案。经过中的电解氧化铝提取铝的工艺被分为5步。每一步，10到15个GEFanuc90-70系列的PLC和多个90-30系列的PLC来完成其他监控和控制工作，在每一步里PLC要监控差不多10000个点。使用星形以太网拓扑网络，装配了Cimplicity软件的PLC和操作人员接口，通过标准10Base-T铜制接线端子，与每一步中的开关连接。每一步都轮流与100Mbps以太网连接，通过光纤引入IT部门。主服务器安顿在IT部门，从服务器安顿在现场，IT部门的工作人员负责维护系统。Cimplicityhmi软件工厂版本使用基于客户端服务器构造和开放系统设计的Web技术，用户通过放置在整个厂区的Cimplicity视窗上的Web阅读器，访问实时远程数据。作为对系统内嵌用户访问安全特性的补充，IT部门增加了另一个安全层，在这层上，经过信息能够被所有工作站的受权用户访问，而参数修改只能在指定的工作站完成。新型控制和监控系统工作良好，促进IT部门和经过控制部门员工的团队合作，而以前，很多公司这两个部门的合作经常出现断层。Boutin讲：这两组人的合作很出色，这在我们的控制和监控系统的成功运行中起了重要作用。应用：PLC控制的机器人使用集成了安全软件的手持HMI设备德国Vlotho的Klocke-Robot-SystemeGmbH公司安装的完备的Rexroth系统，具有高定位精度、短工作周期和低硬件成本的优点。Klock公司的装货和卸货机器人自动操作注塑机完成任务。集成了完备的安全工能的IndraMotionforHandling系统使用使用连续控制西通IndraLogic，它知足IEC61131-3标准要求，确保已经搭建好的程序模型的可重用性。这个系统的外观和感觉就像一个机器人控制，但实际上是PLC控制。IndraMotionforHandling系统与完备的移动操作面板配合使用，例如RexrothVEH30手持式操作人员借口设备。这个组件具有8.4英寸的触摸屏和热插拔能力，能够在设备运行的同时通过以太网方便地与设备互联。一个设备能够完成多个控制任务。用户能够使用手持设备上的恶4个软按钮来编辑动作，可以以通过虚拟键盘教或者输入确定的点。RexrothIndraDrive的集成的安全功能知足EN-945-1类别3的要求，这样他就符合整个欧洲的安全规程，而无须附加的硬件或控制上的改动。【共有0条评论/我要评论】【珍藏本页】【大中小】【打印】【关闭】